Domino 12 中有哪些新增功能？
了解 HCL Domino® 12 中面向管理员的所有新功能。
- 12.0.1 的新增功能？
  HCL Domino 12.0.1 引入了以下新功能。
- 12.0 的新增功能？
  HCL Domino 12.0 引入了以下新功能。
  - 新安装和设置功能和增强功能
    以下是 Domino 12 提供的安装和设置功能以及增强功能。
  - 新 DAOS 功能和增强功能
    这些是 HCL Domino® 12 提供的安全功能和增强功能。
    - 改进了 TLS 证书的管理
      HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr)，该任务与新的数据库证书库 (certstore.nsf) 一起运行，以在 Domino 环境中管理 TLS 证书。
    - 基于时间的一次性密码 (TOTP) 认证
      当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
    - 根据 IP 地址强制执行因特网密码锁定
      从 HCL Domino® 12 开始，您可以根据 IP 地址对不在目录中的用户强制执行因特网密码锁定。
    - 缺省情况下禁用 TLS 1.0
      缺省情况下， Domino 12 禁用 Domino 对 TLS 1.0 的支持，将 TLS 1.2 保留为当前支持的 TLS 协议版本。
    - TLS 1.2 密码支持两条使用 ECDHE 进行前向保密的新曲线
      使用临时 Elliptic 曲线 Diffie-Hellman (ECDHE) 进行前向保密的 TLS 1.2 密码现在支持两条用于前向保密的新曲线：X25519 和 X448。
    - 新的模板签名标识使用 2048 位密钥
      新的模板签名标识 CN=Domino Template Development/O=Domino 使用 2048 位密钥提供安全性更高的加密。Notes 和 Domino 12 中新增或修改的模板使用该新标识进行签名。
    - NRPC 端口加密支持使用 X25519 的前向保密
      对使用 X25519 (https://en.wikipedia.org/wiki/Curve25519) 的向前保密 (https://en.wikipedia.org/wiki/Forward_secrecy) 的支持已添加到 Domino 12 服务器的 NRPC 端口加密中。
    - 导入包含不受支持的关键扩展的因特网证书
      现在，您可以允许将包含 Domino 不支持的关键扩展的因特网证书导入 Domino 目录或 Notes 个人地址簿中。
    - 在标识符保险库同步期间禁止密钥翻转警报
      当 Notes 标识与标识符保险库同步时，您可以禁用常规显示的密钥翻转警报。
    - 新的 Query Vault 命令选项
      Query Vault (qvault) 命令提供了用于停用和重新激活用户对文档标识符保险库的选项。
    - 手动将标识上载到保险库
      保险库管理员和用户可以通过 Domino 目录将标识手动上载到标识符保险库。
    - 支持 SameSite cookie
      现在，您可以配置 SameSite cookie 属性，以使 Domino Web 服务器能够声明浏览器只能发送源自 Domino 服务器 Web 站点的 cookie。
    - 缺省情况下阻止 Web 服务器 GET /names.nsf?Login 请求
      为了提高安全性，缺省情况下，Domino 12 Web 服务器不允许 GET /names.nsf?Login 请求。
    - 新的 Web 服务器登录表单
      登录表单 $$LoginUserFormMFA 作为 Web 用户的现代外观登录表单提供。如果配置基于时间的一次性密码 (TOTP) 认证，必须使用登录表单，但即使不使用 TOTP，也可以使用登录表单。
  - 新 DAOS 功能和增强功能
    HCL Domino® 12 为 Domino 附件和对象服务 (DAOS) 提供了以下新功能和增强功能。
  - 与最终用户体验相关的新功能
    以下功能与 HCL Notes® 的最终用户体验相关。
  - 复制增强功能
    HCL Domino® 12 提供了这些复制增强功能。
  - 备份和恢复功能
    备份和恢复功能与 Domino 12 服务器集成。
  - 独立的 Domino 目录增强功能
    新的 Domino 目录设计 (pubnames.ntf) 提供了多个独立的增强功能，这些增强功能可改进管理员的易用性。
  - Active Directory 中的用户可以同步其 Windows 密码
    Active Directory 密码同步让已将其 Active Directory 信息同步到 Domino 的 Windows 用户能够将 Windows 密码应用于其 Domino HTTP Notes 标识密码。
  - 管理进程支持更新 Verse 用户概要文件中的名称
    管理进程重命名个人请求现在可更新 HCL Verse 用户概要文件中的名称。
  - 新的 ODS 级别
    HCL Domino® 12 中引入了数据库的新磁盘上结构 (ODS) 版本：ODS 55。
  - MarvelClient Essentials 集成
    对 MarvelClient 与 Domino 的集成进行了以下改进。
  - 权利跟踪
    从 Domino 12.0 开始，提供了一个新的内部机制，用于收集各个用户在某个 Domino 域中拥有的最高权利。如果某个用户在数据库的 ACL 中显示为拥有“读者”或更高访问权，并且该用户有权访问服务器，该用户被称为授权用户。
  - 重新提供 Domino OSGI Tasklet 服务 (DOTS)
    在 Domino 12 中重新提供 DOTS 服务。
  - 新 Java™ 运行时环境
    HCL Domino® 12 和 HCL Designer Domino 12 随附新的 Java™ 运行时环境 (JRE)。
  - TCP/IP 端口缓冲区大小
    Domino 12 将 TCP/IP 端口缓冲区缺省大小从 4000 更改为 8000。
  - 此版本中不再包含的组件
    不再包含以下组件。

缺省情况下禁用 TLS 1.0

缺省情况下， Domino 12 禁用 Domino 对 TLS 1.0 的支持，将 TLS 1.2 保留为当前支持的 TLS 协议版本。

TLS 1.0 协议可追溯至 1999 年，针对目前环境中普遍发生的攻击，其提供的安全级别非常差。大多数现代 Web 浏览器和云服务供应商于今年早期放弃了对 TLS 1.0 和 TLS 1.1 协议的支持，而 IETF TLS WG 已向 IESG 提交适用于 TLS 1.0 和 TLS 1.1 的“die-die-die”因特网草案，以作为 RFC 发布。(https://tools.ietf.org/html/draft-ietf-tls-oldversions-deprecate-06)

对于仍需要 TLS 1.0 以实现向后兼容性的环境，可以通过在 notes.ini 文件中设置 SSL_ENABLE_TLS_10=1 来重新启用 TLS 1.0 支持。